Skip to content
Rechten & Verzoeken calendar_today Bijgewerkt: 6 april 2026 schedule 8 min leestijd

GDPR Rechten van Betrokkenen: De Complete Gids voor Ondernemers

De GDPR (in Nederland ook AVG genoemd) geeft mensen 8 rechten over hun persoonsgegevens. Als ondernemer moet je die verzoeken correct afhandelen, binnen een maand, gratis, en goed gedocumenteerd. Deze gids legt per recht uit wat je moet doen.

summarize Kernpunten
  • check_circle Betrokkenen hebben 8 rechten onder de GDPR; je moet elk verzoek binnen één maand afhandelen
  • check_circle Je mag geen kosten rekenen voor het eerste verzoek, tenzij het duidelijk ongegrond of buitensporig is
  • check_circle Controleer altijd de identiteit van de verzoeker voordat je gegevens verstrekt of verwijdert
  • check_circle Houd een register bij van alle ontvangen verzoeken en hoe je ze hebt afgehandeld
  • check_circle GDPRWise genereert automatisch antwoordsjablonen voor elk type verzoek

De 8 rechten in het kort

De GDPR (Algemene Verordening Gegevensbescherming, in Nederland ook AVG genoemd) geeft elke persoon wiens gegevens je verwerkt, klanten, medewerkers, websitebezoekers, een reeks rechten. Als ondernemer ben je verplicht om elk verzoek serieus te nemen en correct af te handelen.

Dit zijn de 8 rechten:

  1. Recht op informatie - weten welke gegevens je verwerkt en waarom
  2. Recht op inzage - een kopie ontvangen van hun gegevens
  3. Recht op rectificatie - onjuiste gegevens laten corrigeren
  4. Recht op verwijdering - gegevens laten wissen (“recht op vergetelheid”)
  5. Recht op beperking - verwerking tijdelijk laten stopzetten
  6. Recht op overdraagbaarheid - gegevens in een leesbaar formaat ontvangen
  7. Recht van bezwaar - bezwaar maken tegen bepaalde verwerkingen
  8. Recht m.b.t. geautomatiseerde besluitvorming - niet onderworpen worden aan puur geautomatiseerde beslissingen

Voordat je begint: de basisregels

Ongeacht welk recht iemand inroept, gelden altijd dezelfde basisregels:

Termijn: je hebt maximaal één maand om te reageren. Bij complexe verzoeken mag je dit eenmalig met twee maanden verlengen, maar je moet de verzoeker binnen die eerste maand informeren over de vertraging en de reden.

Kosten: het eerste verzoek is altijd gratis. Je mag alleen een redelijke vergoeding vragen als het verzoek kennelijk ongegrond of buitensporig is (denk aan iemand die elke week hetzelfde verzoek indient).

Identiteitscontrole: verifieer altijd de identiteit van de verzoeker voordat je gegevens verstrekt of wijzigt. Vraag om een kopie van een identiteitsbewijs, maar scherm het BSN en de pasfoto af; je hebt die gegevens niet nodig.

Registratie: houd een register bij van alle ontvangen verzoeken, de datum, het type recht, en hoe je ze hebt afgehandeld. De toezichthouder kan dit register opvragen.

1. Recht op informatie

Wat het betekent: mensen hebben het recht om te weten welke gegevens je verwerkt, waarom, hoe lang je ze bewaart, met wie je ze deelt, en welke rechten ze hebben. Dit recht is “proactief”; je moet deze informatie actief verstrekken, niet pas wanneer iemand erom vraagt.

Hoe je dit regelt:

  • Publiceer een duidelijke privacyverklaring op je website
  • Informeer klanten bij het verzamelen van gegevens (aanmeldformulieren, contracten)
  • Vermeld altijd: het doel, de grondslag, de bewaartermijn, en de rechten van de betrokkene

Veelgemaakte fout: een privacyverklaring die niemand begrijpt. Schrijf in begrijpelijke taal, niet in juridisch jargon.

2. Recht op inzage (toegang)

Wat het betekent: iemand kan je vragen om een kopie van alle persoonsgegevens die je over hem of haar verwerkt. Dit is het meest voorkomende verzoek, het zogenaamde “inzageverzoek” of DSAR (Data Subject Access Request).

Hoe te reageren:

  1. Controleer de identiteit van de verzoeker
  2. Verzamel alle gegevens die je over deze persoon hebt, in alle systemen (CRM, e-mail, boekhouding, HR)
  3. Stuur een overzicht met: welke gegevens, waarvoor, van wie ontvangen, met wie gedeeld, hoe lang bewaard
  4. Lever dit in een begrijpelijk formaat (bijv. PDF)

Termijn: binnen één maand.

Let op: je mag geen gegevens van andere personen meesturen. Als een dossier ook gegevens van derden bevat, scherm die dan af.

3. Recht op rectificatie

Wat het betekent: als persoonsgegevens onjuist of onvolledig zijn, kan de betrokkene vragen om correctie of aanvulling.

Hoe te reageren:

  1. Controleer of de gegevens inderdaad onjuist zijn
  2. Corrigeer ze in al je systemen
  3. Heb je de gegevens gedeeld met derden (bijv. een verwerker)? Informeer hen ook over de wijziging
  4. Bevestig de correctie schriftelijk aan de verzoeker

Praktisch: veel systemen bieden klanten de mogelijkheid om hun gegevens zelf aan te passen (denk aan een accountpagina). Dat is de makkelijkste route.

4. Recht op verwijdering (“recht op vergetelheid”)

Wat het betekent: mensen kunnen vragen om hun persoonsgegevens te wissen. Dit is geen absoluut recht; er zijn uitzonderingen.

Wanneer je moet verwijderen:

  • De gegevens zijn niet meer nodig voor het oorspronkelijke doel
  • De betrokkene trekt de toestemming in (en er is geen andere grondslag)
  • De betrokkene maakt terecht bezwaar
  • De gegevens zijn onrechtmatig verwerkt

Wanneer je mag weigeren:

  • De gegevens zijn nodig voor een wettelijke verplichting (bijv. fiscale bewaarplicht van 7 jaar)
  • Voor het uitoefenen van het recht op vrije meningsuiting
  • Voor de instelling of uitoefening van rechtsvorderingen

Hoe te reageren:

  1. Controleer de identiteit
  2. Beoordeel of een uitzondering van toepassing is
  3. Verwijder de gegevens uit alle systemen, inclusief back-ups (voor zover redelijk)
  4. Informeer eventuele ontvangers van de gegevens
  5. Bevestig de verwijdering of leg uit waarom je weigert

5. Recht op beperking van de verwerking

Wat het betekent: de betrokkene kan vragen om de verwerking tijdelijk stop te zetten. Dit is een soort “pauzeknop”; je bewaart de gegevens, maar mag ze niet meer actief gebruiken.

Wanneer dit recht geldt:

  • De juistheid van de gegevens wordt betwist (tijdens de verificatie)
  • De verwerking is onrechtmatig, maar de betrokkene wil geen verwijdering
  • Je hebt de gegevens niet meer nodig, maar de betrokkene wel (voor een rechtszaak)
  • De betrokkene heeft bezwaar gemaakt en je beoordeelt of jouw gronden zwaarder wegen

In de praktijk: markeer de gegevens als “beperkt” in je systeem. Je mag ze alleen nog verwerken met toestemming van de betrokkene, of voor rechtsvorderingen.

6. Recht op overdraagbaarheid (dataportabiliteit)

Wat het betekent: de betrokkene kan vragen om de gegevens die hij zelf heeft verstrekt in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen, en om die gegevens over te dragen aan een andere organisatie.

Wanneer dit recht geldt:

  • De verwerking is gebaseerd op toestemming of een overeenkomst
  • De verwerking gebeurt geautomatiseerd (niet op papier)

Formaat: gebruik een gangbaar formaat zoals CSV, JSON of XML. Geen PDF; dat is niet machineleesbaar.

Let op: dit recht geldt alleen voor gegevens die de betrokkene zelf heeft verstrekt. Afgeleide gegevens (analyses, scores, profielen) vallen hier niet onder.

7. Recht van bezwaar

Wat het betekent: de betrokkene kan bezwaar maken tegen de verwerking van gegevens, met name wanneer je verwerkt op basis van gerechtvaardigd belang of voor direct marketing.

Bij direct marketing: het bezwaar is altijd gegrond. Je moet onmiddellijk stoppen met het verwerken van gegevens voor marketingdoeleinden. Geen discussie mogelijk.

Bij gerechtvaardigd belang: je moet beoordelen of jouw belangen zwaarder wegen dan de rechten van de betrokkene. Zo niet, moet je de verwerking stopzetten.

Hoe te reageren:

  1. Gaat het om direct marketing? Stop onmiddellijk
  2. Gaat het om gerechtvaardigd belang? Maak een afweging en documenteer deze
  3. Informeer de betrokkene over je beslissing

8. Recht m.b.t. geautomatiseerde besluitvorming en profilering

Wat het betekent: mensen hebben het recht om niet onderworpen te worden aan een besluit dat uitsluitend gebaseerd is op geautomatiseerde verwerking (inclusief profilering) als dit besluit hen in aanmerkelijke mate treft.

Wanneer dit relevant is:

  • Je gebruikt een algoritme om automatisch kredietaanvragen af te wijzen
  • Je maakt automatische prijsdiscriminatie op basis van profielen
  • Je selecteert automatisch sollicitanten zonder menselijke beoordeling

Voor de meeste MKB-ondernemers: dit recht is zelden relevant. Als je geen volledig geautomatiseerde beslissingen neemt die mensen significant beïnvloeden, hoef je hier weinig mee.

Als het wél relevant is: zorg dat er altijd een mogelijkheid is voor menselijke tussenkomst, en informeer betrokkenen dat ze dit recht hebben.

Antwoordsjablonen

We hebben kant-en-klare e-mailsjablonen gemaakt voor de meest voorkomende verzoeken. Kopieer ze, pas je bedrijfsgegevens aan, en verstuur.

Wat moet je nu doen?

Een checklist om je verplichtingen op orde te krijgen:

  • Zorg dat je privacyverklaring up-to-date is en alle rechten vermeldt
  • Stel een procedure op voor het ontvangen en afhandelen van verzoeken
  • Wijs iemand aan die verantwoordelijk is voor het afhandelen van verzoeken
  • Gebruik onze antwoordsjablonen als basis voor je eigen antwoorden
  • Richt een register in voor ontvangen verzoeken
  • Train je medewerkers; zij moeten weten hoe ze een verzoek herkennen en doorsturen
  • Test je procedure: hoe snel kun je alle gegevens van één persoon uit al je systemen halen?
auto_awesome Weet je welke gegevens je verwerkt?

GDPRWise scant je website en brengt in kaart welke persoonsgegevens je verzamelt, met wie je ze deelt, en welke rechten je bezoekers hebben. Zo weet je precies wat je moet antwoorden bij een verzoek.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.